Статията е посветена на организирането на безопасна работа на потребителите в Интернет чрез използване на технологията на така наречените „сигурни“ DNS сървъри. По-специално, днес ще разгледаме характеристиките на популярната облачна DNS услуга OpenDNS и възможности за използването му в корпоративна среда, базирана на Windows домейн.
OpenDNS е специална облачна услуга, която предоставя на всички безплатна услуга на DNS сървъри. Но това не е основното. Основната „характеристика“ на тази услуга е възможността да се организира ефективна система за защита на потребителите от злонамерен софтуер, фишинг сайтове, ботнети, ограничаване на достъпа на потребители до различни категории сайтове и много други, въз основа на услугата DNS. Друго важно предимство на OpenDNS е фактът, че не е необходимо да се разгръща и инсталира на всеки от компютрите в домашната / работната ви мрежа.
забележка. Като вътрешни аналози на OpenDNS препоръчваме SkyDNS и изхвъргач. Тези услуги имат висока (в много отношения подобна) функционалност и са по-приятелски настроени към руския потребител.Принципът на работа на услугата OpenDNS и аналози
Накратко обяснете на какво се основава принципът на филтриране на DNS заявки чрез OpenDNS и подобни услуги.
Когато потребител кандидатства за разрешаване на DNS името на сайт (домейн) към OpenDNS сървър, неговата заявка се изпраща до най-близкия DNS сървър на OpenDNS (тази функция се реализира благодарение на технологията BGP Anycast). Сървърът получава заявката на потребителя и я проверява спрямо вътрешната си база данни от сайтове и ако заявеният сайт е в категорията на забранени, фишинг или вирусни сайтове, тогава вместо IP адреса на желания сайт, потребителят получава IP адреса на сайта OpenDNS и вместо „лош“ ресурс, страницата на OpenDNS се появява с предупреждение , което показва причината за блокирането на този домейн. Ако исканият домейн не се намери в черния списък, OpenDNS сървърът взема своя IP адрес от собствения си кеш или го изисква и други DNS сървъри.
Ключови функции на OpenDNS
- отворен DNS сървър - естествено, това е неговата основна задача
- Възможност за филтриране на неподходящо съдържание - възможност за ограничаване или забрана на достъп до различни категории сайтове. Филтрирането на съдържанието се извършва въз основа на постоянно актуализирана база данни, съдържаща няколко милиона домейна, подредени в 55 категории (игри, социални мрежи, "18+", споделяне на файлове, филми и др.). Използвайки OpenDNS, можете да защитите детето си от „недетническо“ съдържание (ограничавайки достъпа на децата до сайтове като средство за разширяване на технологията за родителски контрол на Windows) или да ограничите достъпа на служителите до сайтове, които намаляват производителността.
- Контрол на достъпа до сайта - в допълнение към филтрирането на съдържание с помощта на OpenDNS, можете да поддържате бели и черни списъци на домейни, достъпът до които, съответно, винаги е разрешен или винаги е отказан
- Защита от фишинг и злонамерен софтуер - OpenDNS използва базата данни за сайтове за фишинг на PhishTank .забележка. Фишинг сайтове са сайтове за клониране на популярни сайтове, създадени за извличане на поверителна информация и потребителски пароли..
Услугата предоставя и блокиране на сървъри, които са заразени от вируси, заразени с контролни команди..
- Осигуряване на достъпност на сайтовете, дори когато са авторитетни DNS сървъри - Услугата OpenDNS благодарение на технологията за кеширане SmartCache може да осигури достъп до сайтове, чиито авторитетни DNS сървъри в момента не работят
- Автоматична корекция на печатни грешки при въвеждане на име на домейн ви позволява автоматично да коригирате печатни грешки при въвеждане на имена на домейни в част от най-високо ниво на домейн (.net, .ru, .com и т.н.)
- статистика за проследяване - услугата събира и поддържа статистически данни за заявените домейни, блокираните домейни, оценките на домейна по популярност и т.н..
- Възможност за създаване на собствени страници и формуляри за обратна връзка - когато използва OpenDNS в корпоративна мрежа, администраторът може да създава свои собствени информационни съобщения за потребителите
Всички разширени функции на OpenDNS са достъпни след регистрация и са конфигурирани в удобен уеб интерфейс. Безплатни са само основните функции на DNS услугата. В противен случай услугите се заплащат.
За да накарате домашния си компютър да работи чрез OpenDNS, достатъчно е да посочите адресите на DNS сървърите си в настройките за свързване към Интернет (208.67.222.222 и 208.67.220.220). В корпоративна среда нещата са малко по-сложни.
Не е тайна, че в домейна на Windows клиентите използват DNS сървъри за имена на DNS сървъри за разрешаване на име, докато използването на DNS сървъри на трети страни (особено външни) ще доведе до много проблеми с мрежата: влизане в домейна, търсене на контролери на домейни, сървъри и клиенти, извършване на група политик и т.н. Това означава, че DNS на OpenDNS сървъра не може да бъде зададен директно на клиентите. Най-доброто решение в този случай би било да конфигурирате препращането на DNS заявки към сървъри с имена на OpenDNS на Windows DNS сървъри (обикновено това са контролери на домейни Active Directory).
В този пример ще покажем как да конфигурирате DNS пренасочване, използвайки примера на DNS сървър, работещ под Windows Server 2012.
Конфигуриране на пренасочване на DNS на DNS сървър на Windows Server 2012
Отворете контролния панел DNS Manager (намира се в секцията Административни инструменти). В конзолата DNS изберете вашия DNS сървър и отворете секцията спедитори
Отидете в раздела спедитори (Препращане) и щракнете редактирам.
В прозореца, който се отваря, трябва да посочите ip адресите на 2 обществени DNS сървъра на услугата OpenDNS:
- 208.67.222.222 (resolutionver1.opendns.com)
- 208.67.220.220 (resolutionver2.opendns.com)
Вашият DNS сървър ще провери наличието на тези сървъри и ще тества тяхната ефективност. Запазване на промените.
Уверете се, че квадратчето е отметнато. Използвайте корен подсказки, ако няма препращащи оттеглено. Ако това не е направено, вашият DNS сървър в някои случаи, за решаване на DNS заявки, ще изпрати заявки до коренния DNS на интернет сървъра и OpenDNS сървърите в този случай може да не бъдат разпитвани. Т.е. ако услугата OpenDNS се използва за филтриране, това може да не е приемливо (филтърът трябва да работи във всички случаи!).
забележка. Използването на OpenDNS като основен DNS сървър ще наложи допълнително забавяне на времето, което клиентът чака DNS отговор. Факт е, че въпреки факта, че OpenDNS функционалността се предоставя на базата на 12 географски разпределени центрове за данни и благодарение на маршрутизиращата технология Anycast най-близкият център за данни отговаря на заявката на потребителя за DNS, най-близките до Русия центрове за данни се намират в Амстердам и Франкфурт, т.е. следователно, времето за отговор от тези DNS сървъри може да бъде значително по-дълго от времето за отговор от DNS сървъра на доставчика. В някои случаи такова забавяне може да не е приемливо. В този случай си струва да опитате един от руските аналози на OpenDNS, които имат свои центрове за данни в различни региони на Русия, например SkyDNS или изхвъргач.
Запишете настройките за пренасочване, като щракнете върху OK.
За да се възползвате незабавно от OpenDNS, трябва да нулирате DNS кеша на вашия DNS сървър. За да направите това, в менюто изглед опция за активиране напреднал, в резултат на това в конзолата за управление на DNS се появява допълнителна секция Кеширани прегледи. Щракнете с десния бутон върху новата секция и изберете Изчистване на кеша.
Остава да изчистите DNS кеша на клиентите (или да изчакате, докато записите в локалния DNS кеш изтекат). Можете да направите това с помощта на командата:
ipconfig.exe / flushdns
